对于Cluster Alpha,研究人员看到对方从去年3月初一直到8月进行攻击行动,疑似滥用受害组织网路环境测试不同的技术,并以特殊手法停用防毒软体、提升权限,这些骇客特别优先侦察伺服器映射的子网域、管理者帐号,以及AD相关的基础设施。
这些骇客会借由部署名为EagerBee的恶意软体变种,以窜改封包的功能切断资安系统端点代理程式的通讯;再者,他们借由Merlin Agent、PhantomNet、PowHeartBeat等恶意软体建立C2通道,以便于受害电脑持续活动;附带一提的是,对方用来寄生攻击(LOLBins)的系统元件instsrv.exe、srvany.exe相当不寻常,而能取得SYSTEM权限。
骇客使用过往未曾揭露的恶意程式PocoProxy进行C2通讯,并部署恶意软体载入工具HUI,企图将Cobalt Strike的Beacon注入mstsc.exe但并未成功。而对于窃取帐密资料的方式,这些骇客将LSASS转译器注入svchost.exe,从网域控制器撷取凭证。